Segurança

Governo recomenda prontidão para vulnerabilidade de alto risco Citrix Bleed

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu de parceiros internacionais informações relevantes sobre explorações recentes da vulnerabilidade CVE-2023-4966, também conhecida como “Citrix Bleed”. Detalhes sobre a vulnerabilidade estão disponíveis em: https://nvd.nist.gov/vuln/detail/CVE-2023-4966

A exploração da vulnerabilidade pode ser utilizada por agentes adversos que empregam o ransomware, software malicioso que visa criptografar os dados com o objetivo de exigir um resgate financeiro, além de exfiltrar dados sensíveis em um processo de dupla extorsão.

A Citrix publicou atualizações de segurança para solucionar a vulnerabilidade, considerada de alta severidade, que afeta os produtos NetScaler ADC e NetScaler Gateway, para tanto deve-se instalar as versões atualizadas do NetScaler ADC e NetScaler Gateway o mais rápido possível. 

https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/ 


O CTIR Gov recomenda às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que verifiquem no mapeamento de ativos do órgão ou entidade a existência dos produtos afetados e providenciando sua imediata atualização. Sugere ainda:

Verificar se seus sistemas estão vulneráveis à CVEs conhecidas, em particular à CVE-2023-4966, tomando as medidas de mitigação ou corretivas, conforme necessário;

Rever os logs de tráfego de rede em busca de atividades relacionadas ao endereços IPs com trafego HTTP;

Observar e investigar atividades anômalas de usuários, como a introdução de ferramentas suspeitas nos sistemas, a criação de novas contas, eventos de varredura tipo “5140(S, F) compartilhamento de rede foi acessado”, ou a execução de comandos suspeitos;

Manter um alto grau de monitoramento e prontidão, particularmente quanto a análise de logs de mudanças de IP e logins de geolocalizações suspeitas;

Manter os sistemas operacionais e aplicativos dos processos críticos ao negócio do órgão sempre atualizados;

Utilizar usuários administradores diferentes dos gestores de domínios;

Adotar e executar processo de gestão de vulnerabilidades em sua rede;

Restringir e monitorar a utilização de serviços de acesso remoto, como RDP por exemplo;

Limite a disponibilidade das ferramentas Rclone, dControl, Xcopy, Mimikatz, WinSCP, PsExec e Network Scanner;

Adotar política de Senhas Fortes incentivando aos usuários a criar senhas complexas e exclusivas para suas contas. Além disso, é importante propor um segundo fator de autenticação;

Utilizar ativos de segurança, em particular firewalls e antimalware, sempre atualizados para proteção contra ameaças, inclusive de endpoints;

Implementar uma política de mínimo privilégio, permitindo aos usuários exercer ações na rede restritas ao desempenho de suas funções organizacionais;

Realizar backups regulares de dados importantes, mantendo-os off-line, e testar a restauração para garantir a disponibilidade de informações em caso de incidente, particularmente com ransomware; e

Ter um plano de prevenção, tratamento e resposta a incidentes em vigor, que inclua ações para conter, tratar e recuperar os ativos perante ataques ou violações de segurança.

Botão Voltar ao topo